Оцените мою хоум лабу(с точки зрения безопасности)

0. Основная Вопросы новичков
1

Приветствую участников форума! Благодаря каналу сделал свою лабораторию.
Вывод нужных сервисов в интернет сделал по такой схеме:

  1. Настроил VPS с WireGuard и nginx — принимает внешние HTTPS-запросы. Открыты только порты 443, ssh и порт для Wireguard. 80й порт открываю вручную только когда создаю сертификаты с помощью certbot. Сертификаты проверяет nginx именно на внешнем сервере.
  2. Создал “коннектор” в локальной сети — отдельную VM в Proxmox, подключённую по WireGuard к VPS. Это простой LXC контейнер, в котором работает клиент WireGuard, файрвол и nginx-proxy-manager в docker контейнере. Этот контейнер с помощью vlan “живет” в отдельной подсети (сегменте). Настройка vlan и подсетей выполнена на рутере Keenetic. Отдельная сеть сделана для возможности контролировать доступ с “коннектора” до других виртуальных машин (в другой подсети, другой vlan) с помощью файрвола Keenetic’а. Файрвол на “коннекторе” разрешает входящие соединения только с интерфейса WireGuard и только на порт nginx-proxy-manager.
    nginx-proxy-manager маршрутизирует запросы к конкретным сервисам, для этого на Keenetic настроены конкретные разрешающие правила.

Пока не настраивал маршрутизацию по домену внутри локальной сети, остальное работает надежно. WireGuard у меня пока не блокируют.
Поскольку я не являюсь специалистом в сетевых технологиях, хотел бы получить оценку своего решения с точки зрения безопасности домашней сети и потенциальных рисков.

2

начинать надо с постановки задачи
а так любой открытый порт повышает риск

зачем открывать 80й порт, если можно делать через днс или хттпс
зачем ссх постоянно открытый, если на впсе впн работает?

3

Изначально это был ответ в теме про вывод сервисов в интернет, то есть задача - дать доступ к сервисам внутри локальной сети.

80 порт используется только для получения сертификатов, переделаю на DNS.
SSH открыт, чтобы сохранить доступ к серверу при отключении VPN, что вероятно, учитывая, что у части провайдеров WireGuard уже блокируется. И я забыл написать, что SSH только по ключам и логин для root запрещен.

4

да в целом сойдет

у одного моего клиента как-то сломали виртуальную машину с виндовсом, которая работала на проксе, который торчал только WireGuard, на сервере был свн сервер для кода и несколько кодеров по впн подключались

на виндовсе нашел прогу для удаленного мониторинга и вроде даже работы типа rustdesk, прога невирус + нашел какую-то папку со всякими прогами для взлома, уже не помню конкретно чего там было

удалили конфиг сервера свн + делались бекапы этой машины в cifs шару хетцнера, но как оказалось - этот протокол не поддерживает проверку целостности блоков данных по хешу и бекап оказался битый, а было там почти 4тб

так что как бы ты не защищался, а сломать могут откуда не ждеш

пришлось переставлять прокс и все остальное с нуля